Kibernetički napad

Plaćali ste na Ininim crpkama karticom? Postoji mogućnost da su se hakeri dokopali i vaših podataka

Marinko Glavan

Foto Zarko Basic / PIXSELL

Foto Zarko Basic / PIXSELL

Kao i kod svakog kibernetičkog napada, ne možemo isključiti mogućnost da je došlo i do neovlaštenog pristupa osobnim podacima, priopćili su jučer iz Ine, tjedan dana nakon kibernetičkog napada koji je prijavljen policiji



Iz Ine je jučer priopćeno kako se ne može isključiti mogućnost da je došlo do neovlaštenog pristupa osobnim podacima, u kibernetičkom napadu na informatički sustav nacionalne naftne kompanije koji se dogodio krajem prošlog tjedna. Iz Ine poručuju kako su u procesu otklanjanja poteškoća u informatičkim sustavima na koje je utjecao kibernetički napad.


– Započeli smo s oporavkom sustava te radimo na ponovnoj uspostavi svih usluga koje povremeno nisu radile, poručuju iz Ine, uz napomenu kako su, kao i od početka napada, opskrba gorivom i provedba plaćanja sigurni, odnosno da je napad uzrokovao povremene poteškoće u dijelu informatičkog sustava, primjerice za prodaju bonova za mobilne telefone ili plaćanje komunalnih računa.


Isprika kupcima


Ono što se do sad u Ininim priopćenjima nije spominjalo je mogućnost da su počinitelji napada došli do pristupa osobnim podacima, što je kao mogućnost objavljeno tek jučer, gotovo tjedan dana nakon kibernetičkog napada koji je Ina prijavila policiji i ostalim nadležnim službama.


– Napad i mogući neovlašteni pristup podacima se istražuje. Kao i kod svakog kibernetičkog napada, u ovom trenutku ne možemo isključiti mogućnost da je došlo i do neovlaštenog pristupa osobnim podacima. Napominjemo kako je opskrba tržišta sigurna, a prodaja goriva na našim maloprodajnim mjestima se nastavlja odvijati neometano. Također, provedba svih plaćanja je sigurna, neovisno o tome radi li se o gotovinskom plaćanju, INA kartici ili bankovnoj kartici.Ispričavamo se našim kupcima i poslovnim partnerima za eventualne neugodnosti koje je ova situacija mogla prouzročiti. Cijenimo vašu kontinuiranu podršku i razumijevanje u ovoj situaciji, stoji u jučerašnjem priopćenju Ine.

Naftnoj kompaniji smo odmah po objavi priopćenja poslali upit sa zahtjevom za preciznijim informacijama o kojim se vrstama osobnih podataka radi, na koliki broj građana i pravnih subjekata se moguća krađa osobnih podataka odnosi, no iz Ine smo dobili ekspresan odgovor kako nisu u mogućnosti dati odgovore na ova pitanja. Nisu htjeli ni odgovoriti na upit tko su mogući počinitelji napada, niti koja im je motivacija, uz ponavljanje kako cijeli slučaj istražuju nadležne službe.


U razgovoru za Novi list na temu ovog kibernetičkog napada na Inu, stručnjak za informatičku sigurnost Lucijan Carić prije nekoliko dana je kazao kako iz dostupnih podataka pretpostavlja da se radi o napadu čiji je cilj otežati funkcioniranje tvrtke, a ne krađa osobnih podataka, iako nije odbacio ni tu mogućnost.


Razgovarali smo i s IT stručnjakom iz jedne velike hrvatske financijske tvrtke koji kaže kako mogućnost neovlaštenog otuđivanja podataka ovisi o motivima napadača na Inin sustav, ali i o sigurnosnim postavkama tog sustava, kao i o poštovanju propisane procedure zaštite osobnih podataka.


Moguće zlouporabe


– Kada govorimo o tome čiji su podaci mogli biti ukradeni, to su u prvom redu zaposleni u Ini, kao i kupci i poslovni partneri, tako da je vjerojatno riječ o vrlo velikom broju fizičkih i pravnih osoba. Ovisno o tome koje sve podatke očitavaju POS uređaji na Ininim prodajnim mjestima, može biti riječ o različitim podacima, što također ovisi i o tome je li Ina poštovala sve propisano GDPR-om kojim se, između ostalog, nalaže kompanijama da iz svojih sustava izbrišu dobar dio podataka s kartica koji su se prije očitavali, poput broja kartice, iako je sa samim brojem teško učiniti štetu bez sigurnosnog broja na poleđini kartice, kaže naš sugovornik koji je želio ostati anoniman.


Što se tiče mogućeg neovlaštenog pristupa OIB-ima i JMBG-ovima građana, kaže kako su i tu moguće zlouporabe, poput već viđenih primjera sklapanja ugovora s teleoperaterima i nabijanja troškova na račun građana ili tvrtki, pa do sofisticiranijih zloupotreba takvih podataka.


– Osobni podaci su osim toga i e-mail poruke, kojih su se počinitelji mogli dokopati. To se najčešće radi kako bi se došlo do podataka koji bi mogli koristiti konkurentskim tvrtkama ili marketinškim kompanijama. Nekome može biti zanimljiva i povijest plaćanja računa i slični podaci. No, ponavljam, to ne znači da su osobni podaci ukradeni jer to ovisi o vrsti napada, kao i o motivu onih koji su ga izveli, kaže informatičar.